BCM: een last of juist zekerheid voor de CISO?


Informatiebeveiliging. Ofwel ‘het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen. Dit met als doel om de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, 

vooraf bepaald niveau te beperken’.

Het verleden biedt geen garantie voor de toekomst

Deze beschikbaarheid en continuïteit van kritische bedrijfsprocessen kan natuurlijk in gevaar komen. Door bijvoorbeeld een incident zoals brand, wateroverlast of een (stroom)storing. Met alle gevolgen van dien voor een burger, de bedrijfsvoering van een organisatie en de reputatie van de gemeente. Maar hoe kun je als gemeente de beschikbaarheid en continuïteit van je kritische bedrijfsprocessen (blijven) garanderen indien deze in gevaar komen?

Voorkomen is beter dan genezen

Om stagnatie van deze kritische bedrijfsprocessen binnen gemeenten te voorkomen is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen. Daarnaast is het belangrijk dat er een inschatting wordt gemaakt van het effect van elke bedreiging op de kritische bedrijfsprocessen. Want, door adequaat op de bedreiging te reageren, kan de impact ervan worden geminimaliseerd. Dit proces noemen we ook wel ‘Business Continuïty Management (BCM)’ of in het Nederlands, Bedrijfscontinuïteitsbeheer. Onderdeel van dit Bedrijfscontinuiteitsbeheer vormt het uitvoeren van een Bedrijfsimpactanalyse (BIA). Door middel van zo’n BIA worden de kritieke processen van de niet-kritieke processen binnen de gemeentelijke organisatie onderscheiden. Maar hoe bepaal je of een bedrijfsproces kritiek is voor je gemeentelijke organisatie? Ik geef je graag een aantal criteria waarmee je de toets kunt doen. Een proces is kritiek indien:

  • het om wetgeving gaat (bijvoorbeeld processen binnen Openbare orde en veiligheid)
  • het de burger raakt (bijvoorbeeld processen binnen Sociale Zaken)
  • het andere processen binnen je gemeente raakt (bijvoorbeeld processen binnen Financieel beheer)
  • het de beschikbaarheid van je gemeentelijke dienstverlening raakt (bijvoorbeeld processen binnen Sociale Zaken of Burgerzaken)
  • het hoge herstelkosten met zich meebrengt (bijvoorbeeld processen binnen Openbare orde en veiligheid)
  • het hoge integriteit vereist (bijvoorbeeld processen binnen Sociale Zaken en Gezondheidszorg)
  • het om verwerking van vertrouwelijke informatie (zoals persoonsgegevens) gaat in het kader van privacy (bijvoorbeeld processen binnen Burgerzaken/BRP)
  • het een afbreukrisico heeft, dan wel tot reputatieschade leidt (bijvoorbeeld processen binnen de BRP)

Bij een BIA wordt er samen met de verantwoordelijken binnen je gemeente gekeken naar wat de mogelijke impact en schade is bij het uitvallen van een dergelijk proces en wordt inzichtelijk gemaakt wat de gemeente minimaal moet doen om na een incident haar bedrijfsactiviteiten te kunnen voortzetten.

Bedrijfsimpactanalyse (BIA); linksom of rechtsom?

Door middel van een BIA kun je als gemeente per kritisch bedrijfsproces de maximale uitvalsduur, ofwel Recovery Time Objective (RTO), van een proces vaststellen. Bij de gebruikelijke aanpak gaat dit als volgt:

  1. Op basis van de RTO’s wordt een strategie opgesteld
  2. Deze strategie geeft aan welke maatregelen nodig zijn om de bedrijfsprocessen weer te herstellen
  3. Om de strategie uit te voeren zijn vaak aanvullende aanpassingen/investeringen nodig
  4. Nadat de maatregelen zijn uitgevoerd, kan er getest en geoefend worden
  5. Waarna er tot slot een evaluatie plaatsvindt van de uitkomsten

Helaas zijn desinvesteringen bij deze aanpak niet uitgesloten. Deze worden vaak veroorzaakt doordat de BIA veel tijd en inzet vraagt en daardoor vaak worden uitgevoegd door functionarissen uit het middenmanagement van de gemeente. Bedrijfscontinuïteit is echter een strategische aangelegenheid, waarvoor het noodzakelijk is dat het (top)management de strategische keuzes maakt. Hierdoor kan het zijn dat de vastgestelde RTO’s moeten worden bijgesteld aan de hand van de uitkomsten van de testen.

Omgekeerde BIA

Maar moeten we de BIA nog wel volgens de gebruikelijke aanpak willen uitvoeren? Of kan dit ook pragmatischer? De Informatiebeveiligingsdienst voor gemeenten (IBD ) heeft onlangs de ‘omgekeerde Bedrijfsimpactanalyse (BIA)’ geïntroduceerd, tijdens de regiobijeenkomsten over BCM en in hun nieuwe BIG-OP producten. In deze aanpak wordt een andere volgorde aangehouden. Er wordt namelijk eerst gekeken naar welke calamiteiten er kunnen plaatsvinden en hoe je als organisatie op dat moment de situatie aanpakt. Vervolgens worden de BCM-documenten hiervoor opgesteld, vinden er testen plaats en worden tenslotte de resultaten geëvalueerd. Pas daarna worden er eventueel maatregelen doorgevoerd. Er zijn op dat moment dus nog geen grote investeringen of aanpassingen gedaan en de kans op desinvesteringen is daardoor ook kleiner. Bijkomend positief effect is dat het management deze werkwijze zelf bedenkt en beoordeelt.

BCM; gaat dit de CISO-pet te boven?

Maar wie z’n taak is het eigenlijk binnen een gemeente om BCM op te starten? De CISO, het management of iemand anders? Oorspronkelijk hadden gemeenten een calamiteitenplan, hierin stond slechts beschreven hoe een ICT-incident aangepakt moest worden. De rest was onderdeel van het Bedrijfshulpverleningsplan (BHV-plan). Tegenwoordig worden, mede door de digitalisering, alle potentiële incidenten die kunnen plaatsvinden binnen een gemeente in één plan verwerkt. Hiervan dient het overgrote deel van de incidenten bij de CISO te worden gemeld. Immers, niet alleen bij digitale calamiteiten, zoals een hack, kan de informatieveiligheid in gevaar komen. Juist ook incidenten zoals brand en overstromingen kunnen de informatieveiligheid binnen een gemeente verstoren. De CISO heeft dus veel te maken met BCM.

Bedrijfscontinuïteit is echter ook een strategische aangelegenheid, waarbij het noodzakelijk is dat het management de strategische keuzes maakt. De ‘omgekeerde’ BIA vraagt een grotere investering van het management dan de gebruikelijke aanpak, maar kan op die manier wel tijd en desinvesteringen besparen. Dan lijkt het verstandiger om de RTO doormiddel van de omgekeerde BIA vast te stellen, toch?

Ben jij in jouw gemeente al bezig met BCM? Zo ja, wie nam daarin het initiatief?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…

Wanneer gebruik je BBN2+?

Binnen de BIO wordt gebruik gemaakt van drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heef…